ISO27001复查前，资料“看着全，其实漏了关键项”？

ISO27001认证不是“一考定终身”，复查才是真功夫。很多企业以为上次通过了，材料存档齐整、记录完整，复查就稳了——结果现场审核时被一句“这份风险评估表缺少管理层签字确认”卡住，整条证据链直接打折扣。

那问题来了：资料到底准不准？光“有”，不等于“对”；光“全”，不等于“有效”。

别只盯“有没有”，先问“谁做的、啥时候、依据啥”

复查不是翻旧账，而是验闭环。比如《资产清单》，不能只看有没有Excel表格；得核对：是否覆盖新上线的云数据库？责任人是否更新为当前运维主管？上一次评审日期是不是在90天内？版本号有没有和《适用性声明》对得上？九蚂蚁陪审过的案例里，超六成偏差都出在“动态信息未同步”——系统换了、人调岗了、流程优化了，但文档还停在半年前。

三类高危“隐形错误”，复查最容易翻车

• 时间逻辑打架：《内部审核报告》写的是6月完成，但《纠正措施记录》却显示7月才发起整改——时间倒挂，审核员一眼识破；
• 签名与权限错位：信息安全方针由行政助理代签，但制度明确规定须CEO签署；
• 证据断层：说做了年度风险再评估，却找不到会议纪要、原始打分表、管理层评审输入输出记录——只有结论，没有过程，等于没做。

与其等复查当天救火，不如提前“压力测试”

我们建议客户用九蚂蚁独创的《复查资料健康度快检表》（已服务237家企业验证有效），从“责任归属、时效边界、交叉印证”三个维度，15分钟筛出80%潜在漏洞。不是帮你写材料，而是教你像审核员一样“挑刺”。

资料准确性的本质，是组织真实运行状态的镜像。镜子模糊了，再漂亮的妆也经不起强光。复查不是走过场，是你信息安全管理是否真正落地的“照妖镜”。
——照得清，才立得住。